INFORME TRIMESTRAL

RED DE SENSORES DE INTECO

Octubre 2012

Informe_Tercer_Trimestre_2012_corto.doc 2

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

Informe_Tercer_Trimestre_2012_corto.doc 3

ÍNDICE

1. INTRODUCCIÓN Y EQUIPO RED DE SENSORES DE INTECO 5

2. EVOLUCIÓN RED DE SENSORES DE INTECO 6

2.1. Actividad de los sensores 6

3. DATOS DEL TRIMESTRE 7

3.1. Correos electrónicos procesados 7

4. VIRUS 9

4.1.1. Top Virus 9

4.1.2. Virus por sectores de actividad 10

4.1.3. Virus por ámbito geográfico 11

4.2. SPAM 14

4.2.1. Nivel de SPAM 14

4.2.2. Evolución temporal de totales 15

4.2.3. Evolución trimestral del SPAM 15

4.2.4. Top 10 de dominios emisores de SPAM. 16

5. NO SOLO SENSORES 17

5.1. Vulnerabilidades 17

5.1.1. Productos más afectados 17

5.1.2. Fabricantes más afectados 17

5.1.3. Nivel de severidad de vulnerabilidades 18

5.1.4. Vulnerabilidades más comunes según su tipo 19

Informe_Tercer_Trimestre_2012_corto.doc 4

ÍNDICE DE FIGURAS

Figura 1: Distribución de los sensores por sector de actividad. 6

Figura 2: Distribución de sensores según frecuencia en el envío del informe. 6

Figura 3: Evolución trimestral de correos procesados y virus detectados. 7

Figura 4: Evolución trimestral del índice de infecciones por correo procesado. 7

Figura 5: Evolución mensual de correos procesados por sector de actividad. 8

Figura 6: Virus más activos en la red de sensores durante el pasado trimestre. 9

Figura 9: Porcentaje de correos sin virus frente a correos con virus, por sectores de

actividad. 10

Figura 10: Top virus por sector de actividad 10

Figura 11: Tabla de virus más detectados por sectores 11

Figura 12: Mapa autonómico de detecciones de virus. 12

Figura 13: Sensores, correo y porcentaje de infección detectada por autonomía. 13

Figura 14: Nivel de SPAM detectado por la red de sensores. 14

Figura 15: Evolución temporal del SPAM detectado por la red de sensores. 15

Figura 16: Evolución mensual del SPAM a lo largo del último año. 16

Figura 17: Top 10 países emisores de SPAM según datos recogidos por la red de sensores.

16

Figura 18: Productos más afectados por las últimas vulnerabilidades. 17

Figura 19: Fabricantes más afectados por las últimas vulnerabilidades. 18

Figura 20: Vulnerabilidades emitidas por nivel de riesgo. 18

Figura 21: Vulnerabilidades más comunes por tipo. 19

Informe_Tercer_Trimestre_2012_corto.doc 5

1. INTRODUCCIÓN Y EQUIPO RED DE SENSORES DE INTECO

El objeto de este informe es ofrecer un resumen de la evolución experimentada de la Red de

Sensores de INTECO durante el pasado trimestre, analizar la situación actual de la red de

sensores y resumir las incidencias destacadas en dicho periodo.

En primer lugar se muestra la situación actual de la red de sensores, la actividad de los

sensores, las nuevas incorporaciones y los nuevos convenios suscritos a lo largo del

trimestre.

En el apartado de datos del trimestre aparecen diferentes estadísticas e incidencias

ocurridas a lo largo del trimestre. Se resumen datos sobre el volumen de correo analizado,

virus y spam.

A continuación incluimos la información de contacto a la que deberéis dirigiros para resolver

cuantas dudas puedan surgir.

Área técnica

Análisis, diseño y desarrollo de scripts. Soporte a sensores. soporte.sensores@inteco.es

Luis Fernández Prieto luis.fernandez@inteco.es 987 877 189 Ext. 5090

Área Institucional y Coordinación

Gestión de Sensores y colaboraciones. gestion.sensores@cert.inteco.es

Jorge Chinea López jorge.chinea@inteco.es 987 877 189 Ext. 5059

Coordinación

Coordinación y lista de correo rsi@sensores.inteco.es

Informe_Tercer_Trimestre_2012_corto.doc 6

2. EVOLUCIÓN RED DE SENSORES DE INTECO

En la actualidad la “Red de Sensores de INTECO” (RSI) está formada por 111 entidades

que albergan al menos un sensor y que están ubicados en diferentes sectores con el

porcentaje de distribución que aparece en la siguiente figura.

Figura 1: Distribución de los sensores por sector de actividad.

2.1. ACTIVIDAD DE LOS SENSORES

El gráfico de actividad para el último trimestre muestra que hasta 5 sensores que enviaban

de forma continua en el segundo trimestre envían ahora de forma intermitente:

Figura 2: Distribución de sensores según frecuencia en el envío del informe.

Informe_Tercer_Trimestre_2012_corto.doc 7

3. DATOS DEL TRIMESTRE

3.1. CORREOS ELECTRÓNICOS PROCESADOS

La Figura 3 muestra el volumen de correo procesado diariamente y el número de

detecciones registradas. Nótese el doble eje del gráfico que muestra a la izquierda y en azul

los correos analizados y a la derecha en rojo el número de virus encontrados.

Figura 3: Evolución trimestral de correos procesados y virus detectados.

Cabe comentar la correspondencia de las caídas en el volumen de correos procesados

coincidiendo con la disminución de actividad propia de los fines de semana y festivos.

La siguiente figura muestra de manera detallada la evolución del índice de infecciones por

correo electrónico en los últimos tres meses.

Figura 4: Evolución trimestral del índice de infecciones por correo procesado.

A continuación se muestra la aportación al volumen de correos procesados de los diferentes

sectores de actividad durante el tercer trimestre de 2012.

Informe_Tercer_Trimestre_2012_corto.doc 8

Figura 5: Evolución mensual de correos procesados por sector de actividad.

Puede apreciarse que a partir del 30 de Agosto el número de correos procesados del sector

privado desciende de forma súbita. La razón es que los sensores de uno de nuestros

colaboradores, proveedor de servicios de Internet, dejaron de enviar en esa fecha. Nos

encontramos actualmente recuperando los envíos de este colaborador.

Informe_Tercer_Trimestre_2012_corto.doc 9

4. VIRUS

La información que actualmente genera cada uno de los Sensores de la red de INTECO y

que diariamente se envía y procesa, hace referencia fundamentalmente al total de correos

electrónicos procesados, virus detectados y su frecuencia de aparición.

Para analizar dicha información hay que tener en cuenta que los datos proporcionados por

cada sensor dependen de la configuración y arquitectura de seguridad aplicada en cada uno

de ellos. La utilización, cada vez más frecuente, de filtros anti-spam (listas negras, blancas y

grises, eliminación por tipo de adjunto, etc.) que se anteponen a la labor del antivirus, debe

tenerse en cuenta a la hora de analizar la información proporcionada.

4.1.1. Top Virus

La figura muestra la lista de los 10 virus documentados en INTECO-CERT que se

consideran más activos en la red de Sensores de INTECO, dado que han sido detectados

por los antivirus de los Sensores en mayor proporción durante el tercer trimestre de 2012.

Figura 6: Virus más activos en la red de sensores durante el pasado trimestre.

Este trimestre, fue el virus Gamarue.F el que registró un mayor número de incidencias, por

lo que copa el ranking con un grado de actividad de un 13,41% del total de infecciones. A

continuación se sitúan el BredoZP.B y el Androm.GI, con un grado de actividad del 9,50%, y

7,86% respectivamente. Este trimestre hay un gran número de virus que no entran en el Top

10 pero que en su conjunto suponen el 35,37% del total del virus detectados.

Informe_Tercer_Trimestre_2012_corto.doc 10

4.1.2. Virus por sectores de actividad

La presencia de virus en los diferentes sectores de actividad de los sensores de la Red de

Sensores de INTECO sobre el volumen de correo procesado en cada uno de ellos aparece

en la siguiente figura.

Figura 7: Porcentaje de correos sin virus frente a correos con virus, por sectores de actividad.

Como se ve, las soluciones antivirus van cumpliendo su trabajo y este trimestre, apenas un

0,179% (1,9 por cada 1.000) de los correos incluían algún tipo de malware.

Figura 8: Top virus por sector de actividad

El gráfico anterior muestra la comparativa de virus más detectados por sectores de

actividad, agrupando por un lado las administraciones, la universidad y el sector privado con

los proveedores de servicios de correo electrónico.

Informe_Tercer_Trimestre_2012_corto.doc 11

Como información complementaria a la Figura 10, la anterior tabla muestra los valores de

virus más frecuentes.

Virus Administración Sector Privado Universidad Total general

Gamarue.F 1,33%, 17,3%, 20,86%, 15,53%,

BredoZP.B 17,09%, 11,07%, 6,88%, 11,01%,

Androm.GI 35%, 5,34%, 0,57%, 9,1%,

BredoZP.S 11,98%, 7,2%, 4,61%, 7,34%,

Androm.GH 2,06%, 9,36%, 3,51%, 6,64%,

Injector.fmfp 0,65%, 3,43%, 15,27%, 6%,

Dofoil 0,48%, 2,68%, 15,24%, 5,53%,

Bredo.AAC 0,77%, 1,76%, 15,76%, 5,18%,

Agent.XFO 0%, 7,61%, 0%, 4,38%,

Bredolab.AM 0,06%, 7,03%, 0,37%, 4,15%,

Otros 30,57%, 27,21%, 16,92%, 25,14%,

Figura 9: Tabla de virus más detectados por sectores

Se puede ver que a cada sector les afecta más un tipo de virus diferente: En el ámbito

universitario, y en el sector privado es Gamarue.F el virus más activo. Por el contrario, en la

administración pública el virus más recurrente es Androm.GI.

4.1.3. Virus por ámbito geográfico

La siguiente figura muestra el mapa autonómico de detecciones que está disponible de

forma pública en el portal http://cert.inteco.es . Como resumen de las incidencias, la figura

presenta el mapa calculado sobre los datos recibidos durante el tercer trimestre de 2012.

Informe_Tercer_Trimestre_2012_corto.doc 12

Figura 102: Mapa autonómico de detecciones de virus.

Los porcentajes de detección de cada comunidad se calculan sobre los datos de los

Sensores cuyo correo puede asociarse a un entorno geográfico determinado. Los Sensores

de ámbito nacional o internacional, como pueden ser operadores de telecomunicaciones o

proveedores de acceso a Internet que ofrecen su servicio en todo el territorio nacional, no

computan para el cálculo de los porcentajes de detección por autonomía.

La siguiente tabla muestra el número de Sensores y correo procesado para cada una de las

autonomías a lo largo de este trimestre.

Informe_Tercer_Trimestre_2012_corto.doc 13

Figura 113: Sensores, correo y porcentaje de infección detectada por autonomía.

Se puede comprobar que es en Cataluña donde se procesan la mayor cantidad de los

correos que nos ayudan a realizar estas gráficas, seguido de cerca por Galicia. Sin embargo

es en Aragón donde tienen un porcentaje de virus en correo más alto (0,56% de los correos

con virus).

Informe_Tercer_Trimestre_2012_corto.doc 14

4.2. SPAM

La información que actualmente genera cada uno de los Sensores de la red de INTECO y

que diariamente se envía y procesa sobre el SPAM, reporta información sobre el SPAM

recogida en los logs de su solución antispam.

Al igual que con los virus, para analizar dicha información hay que tener en cuenta que los

datos proporcionados por cada sensor dependen de la política, configuración y arquitectura

de seguridad aplicada en cada uno de ellos.

Para acceder a estos datos con información más actualizada se puede visitar:

https://ersi.inteco.es/

4.2.1. Nivel de SPAM

La figura muestra el spam detectado a lo largo del trimestre, así como qué parte del mismo

fue rechazado y cuál no.

Figura 124: Nivel de SPAM detectado por la red de sensores.

El Spam detectado corresponde al total de correos no deseados que llegaron al servidor de

correo de las organizaciones participantes y el correo limpio se refiere a los correos que

llegaron considerados como fiables o deseados.

La gráfica de la derecha corresponde al tratamiento que ha seguido el Spam Detectado, si

se ha eliminado/descartado (Spam Rechazado), evitando que llegue al usuario, o no (Spam

No Rechazado).

Informe_Tercer_Trimestre_2012_corto.doc 15

4.2.2. Evolución temporal de totales

La figura muestra la evolución del SPAM a lo largo de estos tres meses. Son los datos de

mensajes procesados, detectados y rechazados a lo largo de un periodo de tiempo dividido

en intervalos, de un día en este caso.

Cabe señalar que el número de correos procesados y detectados como spam prácticamente

se solapan y que el número de correos disminuye muchos fines de semana.

Figura 135: Evolución temporal del SPAM detectado por la red de sensores.

4.2.3. Evolución trimestral del SPAM

La siguiente figura muestra la evolución trimestral del nivel de SPAM detectado por la Red

de Sensores a lo largo del último año. El nivel de SPAM se ha reducido hasta por debajo del

50% del correo electrónico, llegando a los poco menos de 200 millones de correos de

SPAM.

Informe_Tercer_Trimestre_2012_corto.doc 16

Figura 146: Evolución mensual del SPAM a lo largo del último año.

4.2.4. Top 10 de dominios emisores de SPAM.

La figura muestra los 10 países que envían mayor cantidad de SPAM. La información se

muestra sesgada como spam rechazado, spam detectado y correos procesados.

Figura 157: Top 10 países emisores de SPAM según datos recogidos por la red de sensores.

Informe_Tercer_Trimestre_2012_corto.doc 17

5. NO SOLO SENSORES

5.1. VULNERABILIDADES

5.1.1. Productos más afectados

La figura muestra los productos más afectados por las vulnerabilidades del último trimestre.

Nótese que sólo aparecen aquellos productos afectados por 15 o más nuevas

vulnerabilidades.

Figura 168: Productos más afectados por las últimas vulnerabilidades.

Este trimestre ha sido Apple Safari el producto del que se han publicado más

vulnerabilidades, seguido de la librería FFmpeg de reproducción de videos y de la

plataforma de e-learning moodle.

5.1.2. Fabricantes más afectados

La siguiente figura muestra los diez fabricantes más afectados por las vulnerabilidades

detectadas en este trimestre.

Informe_Tercer_Trimestre_2012_corto.doc 18

Figura 17: Fabricantes más afectados por las últimas vulnerabilidades.

5.1.3. Nivel de severidad de vulnerabilidades

La siguiente gráfica muestra el número de vulnerabilidades documentadas en

http://cert.inteco.es y su nivel de severidad a lo largo del tercer trimestre de 2012.

Figura 180: Vulnerabilidades emitidas por nivel de riesgo.

Informe_Tercer_Trimestre_2012_corto.doc 19

A lo largo del pasado trimestre se emitieron un total de 1866 vulnerabilidades. Los niveles de

severidad de las vulnerabilidades publicadas aparecen en la figura anterior.

5.1.4. Vulnerabilidades más comunes según su tipo

El siguiente gráfico muestra los tipos de vulnerabilidades más comunes registradas este

tercer trimestre de 2012.

Figura 191: Vulnerabilidades más comunes por tipo.